一種在無源光網絡中實現802.1x認證的方法和系統的制作方法

專利名稱：一種在無源光網絡中實現802.1x認證的方法和系統的制作方法
技術領域：
本發明涉及光網絡技術，特別是涉及一種在無源光網絡(PON)中實現 802.lx i人i正的方法和系統。
背景技術：
無源光網絡(PON)技術是一種點對多點傳送的光接入技術。圖1是 PON系統的示意圖。參見圖1, PON系統主要包括光線路終端(OLT)、 光分布網(ODN )和光網絡單元(ONU )，其中，OLT提供網絡側接口 SNI， 連接一個或者多個ODN; ODN是無源分光器件，將OLT下行的數據通過 光分路傳輸到各個ONU,并將ONU的上行數據通過匯聚傳輸到OLT。在進行業務傳輸時，在下行方向，OLT的下行流量通過時分復用方式 廣播到ONU,各個ONU按需接收需要的流量；在上行方向，多個ONU共 享同一條鏈路的帶寬，ONU的上行流量通過OLT的控制，同一個時刻只允 許特定的ONU傳輸數據，通過時分多址方式傳輸到OLT。在PON系統中，由于用戶設備可以與ONU相連，通過ONU與OLT 交互數據報文，因此，未經授權的非法用戶設備很可能通過ONU接入網絡， 對網絡進行攻擊，因此，在PON系統中必須對接入的用戶設備進行接入認 證。目前，對用戶設備進行認證的一種較佳的協議為802.1x。 802.1x是一種 基于端口的認證協議，其最終目的就是確定一個端口是否可用。對于與用戶 設備相連的端口，如果認證成功，那么就"打開"這個端口，允許用戶設備 的所有報文通過；如果認證不成功，就使這個端口保持"關閉'，，即只允許 用戶設備的802.1x認證協議報文通過，其他數據報文則不允許通過。 圖2是802.1x體系結構示意圖。參見圖2，在802.1x體系結構中，主 要包括請求者系統、認證系統和認證服務器系統三部分，其中，請求者系統 是位于局域網鏈路一端的實體，通常是支持802.1x認證的用戶設備，用戶 設備通過啟動客戶端軟件發起802.1x認證；認證系統通常為支持802.1x十辦議 的網絡設備，它為作為請求者的用戶設備提供服務端口，認證系統通常由網 絡中的接入設備來實現；認證服務器系統為認證系統提供認證服務，實現認 證和授權功能。在802.1x體系結構中，請求者系統和認證系統之間運行802.1x定義的 EAPoL協議。當認證系統工作于中繼方式時，認證系統與認證服務器之間 也運行EAP協議，EAPoL幀中封裝認證數據，將該協議承載在其它高層次 協議中，以便穿越復雜的網絡到達認證服務器；當認證系統工作于終結方式 時，認i正系統終結EAPoL消息，并轉換為其它i人i正協議，傳遞用戶^人i正信 息給認證服務器系統。認證系統每個端口(可以是物理端口或邏輯端口)內部包含有受控端口 和非受控端口。非受控端口始終處于雙向連通狀態，主要用來傳遞EAPoL 協議幀，可隨時保證接收請求者發出的EAPoL認證報文；受控端口只有在 認證通過的狀態下才打開，用于傳遞網絡資源和服務。由以上描述可以看出，802.1x提供了對用戶設備進行認證的解決方案。 因此，在PON系統中對用戶設備的認證過程可以考慮使用802.1x認證流程 實現。但是，目前，卻并不存在任何在PON系統中實現802.1x認證的業務 流程，從而無法從根本上保證在PON系統中對用戶設備的合法性認證，無 法保證PON系統通信的安全性。另外，由于PON系統是點到多點的系統，實現接入設備功能的實體包 括ONU和OLT兩個設備，ONU和OLT的功能又密不可分，ONU的帶寬 由OLT來分配，OLT通過OAM通道控制和配置ONU的部分或全部功能， 因此，如果不考慮ONU和OLT在802.1x認證過程的具體業務功能，也無 法保證在PON系統中實現802.lx認證
發明內容
有鑒于此，本發明的第一目的在于提供一種在無源光網絡中實現802.1x 認證的方法，本發明的第二目的在于提供一種在無源光網絡中實現802.1x 認證的系統，以保證在無源光網絡中實現對用戶設備的認證，保證通信的安 全性；本發明的第三目的在于提供一種上報鏈路信息的方法，本發明的第四目 的在于提供一種ONU，在無源光網絡中在實現802.1x認證過程中，上報用 戶設備的鏈路信息，保證對用戶設備的定位。為了達到上述目的，本發明的技術方案是這樣實現的 一種在無源光網絡中實現802.1x認證的方法，該方法包括A、 無源光網絡中的接入設備接收用戶設備發來的認證報文，將該認證 報文發送至認證服務器；B、 認證服務器根據接收到的認證報文對用戶設備進行認證。 在步驟B之后，進一步包括在認證通過后，認證服務器將認證成功消息發送至無源光網絡中的接入設備；無源光網絡中的接入設備打開與用戶設備間 的受控端口。所述無源光網絡中的接入設備為光網絡單元ONU。該方法進一步包括認證服務器將用戶^:備對應的業務參數，直接發送至 ONU和OLT,或通過控制層的其他設備發送至ONU和OLT， OLT接收到業務 參數后，為所述ONU分配網絡資源，并將所分配的網絡資源發送至ONU。該方法進一步包括在用戶開通業務時，在認證服務器和/或控制層的其他 設備中登記用戶的標識，該標識中包括用戶設備所連的ONU的標識、所連ONU 的端口、 OLT的標識，在認證通過后，認證服務器或/和控制層的其它設備將根 據用戶標識獲取的ONU的標識發送至OLT;認證服務器或/和控制層的其它設備根據所登記的ONU和OLT的標識執行 所述發送的過程； OLT根據認證服務器或/和控制層的其它設備發來的ONU的標識執行所述 發送的過程。在步驟A中，所述將認證報文發送至認證服務器的步驟包括ONU和/或 OLT在認證報文中插入鏈路信息，該鏈路信息包括ONU的標識和OLT的標識， 然后將該認證報文發送至認證服務器；認證服務器或/和控制層的其它設備根據從認證報文鏈路信息中獲取的 ONU和OLT的標識，執行所述發送的過程；OLT根據從發送給認證服務器的認證報文中獲取的ONU標識執行所迷發 送的過程。在步驟B之后，進一步包括在認證通過后，所述ONU將EAPoL協議的 認證成功消息給用戶設備。所述無源光網絡中的接入設備包括ONU和OLT;所述步驟A包括用戶設備將認證報文發送至ONU, ONU將認證報文透 傳至OLT， OLT將認證報文發送至認證服務器；所述將認證成功消息發送至無源光網絡中的接入設備的步驟包括認證服 務器將認證成功消息發送至OLT; OLT接收到認證成功消息后，將連通命令發 送至ONU;由ONU執行所述的打開與用戶設備間的受控端口的步驟。該方法進一步包括認證服務器將用戶設備對應的業務參數，直接發送至 OLT或通過控制層的其他設備發送至OLT; OLT為所述ONU分配網絡資源， 將所分配的網絡資源和用戶設備對應的業務參數發送至ONU。該方法進一步包括在用戶開通業務時，在認i正^^務器和/或控制層的其他 設備中登記用戶的標識，該標識中包括用戶設備所連的ONU的標識；所述認證服務器將認證成功消息發送至OLT的步驟包括認證服務器或/ 和控制層的其它設備將所登記的ONU的標識攜帶在認證成功消息中發送至 OLT;OLT根據認證成功消息中攜帶的ONU標識執行所述發送的過程。
在步驟A中，在ONU接收到認證報文后，進一步包括ONU將i人證 報文的定位信息和用戶設備的鏈路信息，通過OLT和ONU之間的運營管理 維護通道發送給OLT，其中，該鏈路信息包含ONU的標識和用戶設備所連 的端口，定位信息包括會話標識；OLT根據接收到的定位信息和用戶設備的鏈路信息執行所述發送的過程。在步驟A中，進一步包括ONU在認證報文中插入鏈路信息，該鏈路 信息包括ONU的標識，然后將該認證報文發送至OLT;OLT根據從發送給認證服務器的認證報文中獲取的ONU標識，執行所 述發送的過程。所述與認證服務器直接交互報文的接入設備工作在中繼模式；所述用戶設 備發來的認證報文為EAPoL協議的認證報文；在步驟A中，所述將認證報文發送至認證服務器的步驟包括與認證服務 器直接交互報文的無源光網絡中的接入設備，將認證報文中封裝了認證數據的 EAP幀承載在其它高層協議中發送至認證服務器；所述將認證成功消息發送至無源光網絡中的接入設備的步驟包括認證服 務器將認證成功消息封裝在EAP幀中，通過高層協議發送至所述與認證服務器 直接交互報文的無源光網絡中的接入設備。所述與認證服務器直接交互報文的接入設備工作在終結模式；所述用戶設 備發來的認證報文為EAPoL協議的認證報文；在步驟A中，所述將認證報文發送至認證服務器的步驟包括與認證服務 器直接交互報文的無源光網絡中的接入設備，將EAPoL協議的認證報文轉換為 其它協議的認證報文，然后發送至認證服務器；所述將認證成功消息發送至無源光網絡中的接入設備的步驟包括認證服 務器采用所述其它協議將認證成功消息發送至所述與認證服務器直接交互報文 的無源光網絡中的接入設備。在步驟B之后，進一步包括在認證通過后，OLT將EAPoL協議的認證
成功消息發送至用戶設備。一種在無源光網絡中實現802.1x認證的系統，該系統包括用戶設備、無源光網絡中的接入設備和認證服務器，其中，用戶設備，用于將認證報文發送至無源光網絡中的接入設備； 無源光網絡中的接入設備，用于接收用戶設備發來的認證報文，將該i^證凈艮文發送至認證服務器；認證服務器，根據接收到的認證報文對用戶設備進行認證。 所述認證服務器，用于在認證通過后，將認證成功消息發送至無源光網絡中的接入設備；所述無源光網絡中的接入設備，用于在接收到認證成功消息后，打開與用 戶設備間的受控端口。所述無源光網絡中的接入設備為ONU，該ONU通過OLT將認證報文發送 至認證服務器。所述無源光網絡中的接入設備包括ONU和OLT;ONU，用于接收用戶設備的認證報文，將該認證報文透傳至OLT，在 接收到OLT的連通命令后，打開與用戶設備間的受控端口；OLT,用于將接收到的認證報文發送至認證服務器，在接收到認證成功 消息后，將連通命令發送至ONU。所述ONU，進一步用于在接收到用戶設備的認證報文后，將用戶設備 的鏈路信息攜帶在認證報文中通過OLT發送至認證服務器。所述OLT,進一步用于在接收到ONU發來的認證報文后，將鏈路信息 攜帶在認證報文中發送至認證服務器。所述OLT與所述認證服務器集成在同一個物理設備內，或位于不同物 理設備內。一種上報鏈路信息的方法，該方法包括無源光網絡中的第 一接入設備接收到用戶設備發來的認證報文，將請求 認證的用戶設備的鏈路信息作為認證報文中的一個或多個選項option插入
認證報文中，然后將認證報文發送至認證服務器。所述無源光網絡中的第一接入設備包括單獨作為認證系統的ONU,且 該ONU工作在終結模式；ONU接收到的用戶設備發來的認證報文為EAPoL協議的認證報文；所述將鏈路信息作為認證報文中的一個或多個選項option插入認i正報 文中的步驟包括ONU將EAPoL協議的認證報文轉換成高層協議報文，并 將請求認證的用戶設備的鏈路信息插入轉換后的高層協議認證報文的承載 位置信息的Option中。所述無源光網絡中的第 一接入設備包括OLT;在將認證報文發送至認證服務器之前，進一步包括OLT作為高層協 議的代理或中繼，監聽從PON接口收到的ONU發來的高層協議的認證報文， 將鏈路信息作為Option插入高層協議的認證報文中。所述無源光網絡中的第一接入設備包括與OLT共同作為認證系統的 ONU;ONU接收到的用戶設備發來的認證報文為EAPoL協議的認證報文； 所述將鏈路信息作為認證報文中的一個或多個選項option插入認證報文中的步驟包括ONU把請求認證的用戶設備的鏈路信息作為EAPoL協議的認證報文的 一 個或多個option，插入該EAPoL協議的認證報文中；所述將認證報文發送至認證服務器的步驟包括ONU將插入鏈路信息的EAPoL協議的認證報文發送至OLT, OLT將認證報文發送至認證服務器。 所述將認證報文發送至認證服務器的步驟包括ONU將認證報文發送至OLT; OLT從接收到的認證報文中獲取用戶設備的鏈路信息，然后去掉或保留ONU在EAPoL協議的認證報文中插入的鏈路信息，并以中繼方式或終結方式把認證報文傳遞給認證服務器。所述OLT保留ONU在EAPoL協議的認證報文中插入的鏈路信息； 該方法進一步包括認證服務器從認證報文中獲得請求認證的用戶設備的鏈路信息。
該方法進一步包括認證服務器將認證報文中的鏈路信息發送至控制層 的其他設備。一種上報鏈路信息的方法，該方法包括ONU探聽用戶端口收到EAPoL 協議的認證報文后，把認證報文的定位信息和用戶設備的鏈路信息通過OLT 和ONU之間的OAM通道發送給OLT。一種ONU,該ONU用于在接收到用戶設備發來的認證報文后，將用戶 設備的鏈路信息插入認證報文中，然后輸出插入鏈路信息的認證報文。所述ONU將請求認證的用戶設備的鏈路信息作為EAPoL協議的認-〖正報 文的 一 個或多個Option插入EAPoL協議的認證報文中，直接輸出或將該插 入了鏈路信息的EAPoL協議的認證報文承載在高層協議中后輸出。所述ONU將接收到的EAPoL協議的認證報文承載在高層協議中，并將 請求認證的用戶設備的鏈路信息插入承載在高層協議認證報文的一個或多 個承載位置信息的Option中，并輸出。所述ONU將EAPoL協議的認證凈艮文轉換成高層協議的認證報文，并將 請求認證的用戶設備的鏈路信息插入轉換后的高層協議認證報文的承栽位 置信息的Option中，并輸出。由此可見，本發明提供了完整的、在無源光網絡中實現802.1x認證的 業務流程，因此，能夠從根本上保證在PON系統中對用戶設備的合法性認 證，保證PON系統通信的安全性。另外，本發明提供了作為接入設備的ONU和OLT在802.1x認證過程 中所分別完成的具體業務功能。其中，當僅由ONU作為認證系統時，本發 明實現了在距離用戶設備最近的地方對用戶設備進行認證，因此，能夠提高 認證過程的安全性，防止非法用戶擠占PON系統的帶寬資源；當由ONU和 OLT同時作為認證系統時，本發明實現了由OLT集中進行認證處理，而無 需每一個ONU分別進行認證處理，因此，降低了 PON系統的成本，提高了 PON系統的帶寬效率。在本發明中，進一步提出了通過802.1x認證過程，將用戶設備的鏈路
信息包括ONU和OLT的標識進行上報，從而使得認證服務器獲得了 ONU 和OLT的位置信息，OLT獲得了 ONU的位置信息，保證了各種認證信息 能夠準確下發，并保證OLT能夠下發為ONU分配的網絡資源，從而保iit了 用戶設備能夠通過PON系統訪問網絡資源。


圖1是PON系統的示意圖。 圖2是802.1x體系結構示意圖。圖3是在本發明中在無源光網絡中實現802.1x認證的系統的基本結構示意圖。圖3A是在本發明中當無源光網絡中的接入設備為ONU時的系統結構 示意圖。圖3B是在本發明中當無源光網絡中的接入設備包括ONU和OLT時的 系統結構示意圖。圖4是在本發明中由ONU作為認證系統時在無源光網絡中實現802.1x 認證的流程圖。圖5是在本發明中由ONU和OLT共同作為認證系統時在無源光網絡中 實現802.lx i^〖正的流程圖。
具體實施方式
本發明提出了一種在無源光網絡中實現802.1x認證的方法，其核心思 想是無源光網絡中的接入設備接收用戶設備發來的認證報文，將該認證報 文發送至認證服務器；認證服務器根據接收到的認證報文對用戶設備進行認 證，在認證通過后，將認證成功消息發送至無源光網絡中的接入設備；無源 光網絡中的接入設備打開與用戶設備間的受控端口 。其中，完成認證系統功能的、所述無源光網絡中的接入設備可以為 ONU;或者，完成認證系統功能的、所述無源光網絡中的接入設備可以包括ONU和OLT。相應的，本發明還提出了一種在無源光網絡中實現802.1x認證的系統。 圖3是在本發明中在無源光網絡中實現802.1x認證的系統的基本結構示意 圖。參見圖3，本發明系統的基本結構包括用戶設備、無源光網絡中的接 入設備和認證服務器，其中，用戶設備，用于將認證報文發送至無源光網絡中的接入設備；無源光網絡中的接入設備，用于接收用戶設備發來的認證報文，將該認 證報文發送至認證服務器，在接收到認證成功消息后，打開與用戶設備間的 受控端口；認證服務器根據接收到的認證報文對用戶設備進行認證，在認證 通過后，將認證成功消息發送至無源光網絡中的接入設備。圖3A是在本發明中當無源光網絡中的接入設備為ONU時的系統結構 示意圖。參見圖3A，在本發明系統中，完成認證系統功能的、所述無源光 網絡中的接入設備可以為ONU。圖3B是在本發明中當無源光網絡中的接入設備包括ONU和OLT時的 系統結構示意圖。參見圖3B，在本發明系統中，完成認證系統功能的、所 述無源光網絡中的接入設備可以包括ONU和OLT，其中，ONU,用于將接收到的用戶設備的認證報文傳遞給OLT，在接收到OLT 的連通命令后，打開與用戶設備間的受控端口；OLT，用于將接收到的認證報文發送至認證服務器，在接收到認證成功 消息后，將連通消息發送至ONU。為了進一步保證在認證成功后，用戶能夠通過PON系統訪問網絡資源， 在本發明中，OLT獲取ONU的標識，根據所獲取的ONU的標識，將所分 配的網絡資源，比如帶寬和優先級等，發送至ONU。參見圖3A和圖3B,在本發明中，PON系統的OLT和認證服務器可以 集成在同一個物理設備內，也可以位于不同的物理設備內。為使本發明的目的、技術方案和優點更加清楚，下面結合附圖及具體實 施例對本發明作進一步地詳細描述。
圖4是在本發明中由ONU作為認證系統時在無源光網絡中實現802.1x認證的流程圖。參見圖3A和圖4，在本發明中，由于ONU是PON系統中 的接入設備，所以ONU可以完成802.1x體系架構中的認證系統功能，此時， 在PON系統中實現802.lx認證的過程包括以下步驟步驟401:用戶設備將認證信息攜帶在EAPoL協議的認證報文中發送 至ONU。步驟402: ONU接收到EAPoL協議的認證報文后，通過OLT將認i正報 文發送至認證服務器。步驟403:認證服務器接收到認證報文后，根據該認證報文中攜帶的認 證信息對用戶設備進行認證。步驟404:認證服務器判斷是否認證成功，如果是，則執行步驟405, 否則，結束當前流程。步驟405:認證服務器通過OLT將認證成功消息發送至ONU。在本發明中，ONU可以工作在中繼模式或終結模式，當ONU工作在中繼模式時，在上述步驟402中，ONU接收到EAPoL 協議的認證報文后，把認證報文中封裝了認證數據的EAP幀承載在其它高 層協議，比如Radius協議中，然后通過OLT發送給認證服務器；在上述步 驟405中，認證服務器將認證成功消息封裝在EAP幀中，通過高層協議比 如Radius協議，通過OLT發送至ONU。當ONU工作在終結模式時，在步驟402中，ONU接收到EAPoL協議 的認證才艮文后，將該EAPoL協議的認證報文轉換為其它協議比如Radius協 議的認證報文，然后通過OLT發送至認證服務器；在上述步驟405中，認 證服務器采用該其它協議如Radius協議，通過OLT將認證成功消息發送至 ONU。步驟406: ONU接收到認證成功消息后，執行打開自身與用戶設備間的 受控端口及其他相關業務處理。這里，ONU打開自身與用戶設備間的受控端口后，則允許用戶設備通
過PON系統訪問網絡資源或月良務。另外，所述其他相關業務處理可以為將該打開的受控端口與用戶設備標 識比如MAC (介質訪問控制)地址，進行綁定等處理。步驟407: ONU將EAPoL協議的認證成功消息發送至用戶設備。 為了進一步保證在用戶設備通過認證后，能夠通過PON系統訪問網絡 資源，則必須在ONU中為用戶設備分配相應的上行資源。因此，在上述圖 4所示流程中，在步驟405中，認證服務器和/或控制層的其他設備可以進一 步將用戶設備對應的業務參數攜帶在認證成功消息中或攜帶在其他消息中 發送至ONU;并且，在步驟404中認證成功以后，認證服務器可以將用戶 設備對應的業務參數，直接發送至OLT或通過控制層的其他設備發送至 OLT, OLT接收到業務參數后，為所述ONU分配相應的網絡資源，比如帶 寬和業務級別等，并將所分配的網絡資源發送至ONU。此后，用戶設備則 可通過ONU上打開的受控端口將數據報文發送至PON網絡，完成對相應網 絡資源的訪問。其中，由于OLT的一個PON接口由多個ONU共享， 一個ONU又可 能由多個用戶通過物理或邏輯端口共享，且在實現為ONU分配網絡資源時， 認證服務器和/或控制層的其它服務器(如策略服務器，資源管理服務器)需要 將用戶設備對應的業務參數發送至ONU和OLT,且OLT需要將分配的網 絡資源發送至ONU,所以認證服務器和/或控制層的其它服務器(如策略服務 器，資源管理服務器)事先需要獲取ONU和OLT的標識，且OLT事先需要 獲取ONU的標識。在本發明中，當由ONU作為認證系統在無源光網絡中實現802.1x認證 時，使得認證服務器獲取ONU和OLT的標識，且OLT獲取ONU的標識的 過程包括以下三種實現方式方式一、在用戶開通業務時，在認證服務器側登記用戶的標識，該標識 可以包括用戶設備所連的ONU的標識、所連的端口、 OLT的標識等；在認 證成功后，認證服務器根據登記的用戶標識獲取OLT的位置以及用戶所連
的ONU的標識，并根椐所獲取的ONU的標識，執行上述的將用戶設備對 應的業務參數發送至ONU的過程；并且，認證服務器可以根據所獲取的OLT 的標識，將ONU的標識直接發送至OLT或通過控制層的其他設備發送至 OLT,使得OLT獲取了對應的ONU的標識，從而完成上述的將所分配的網 絡資源發送至ONU的過程。
在方式一中，在開通業務后，用戶不能移動，用戶只有連接到業務開通 時所登記的ONU才能通過認證。
方式二、在認證過程中，在用戶設備、ONU和認證服務器交互時，由 ONU和/或OLT在用戶設備發給認證服務器的認證報文中插入鏈路信息，該 鏈路信息包括ONU的標識，OLT的標識或IP地址等，其中，可以由ONU 插入全部鏈路信息；或OLT插入全部鏈路信息；或ONU和OLT各插入一 部分鏈路信息(例如，ONU插入的鏈路信息包含ONU標識、請求認證i殳備 所連的端口 ， OLT插入的鏈路信息包含OLT的標識或地址、收到認證報文 的PON接口標識)，認證服務器根據接收到的認證報文中的鏈路信息可以 獲知OLT和ONU的標識。
在該方式二中，ONU在認證報文中插入鏈路信息的具體實現包括
在上述圖4所示過程中，當ONU收到用戶設備發來的EAPoL協議的認 證報文后，將請求認證的用戶設備的鏈路信息(包括所連的端口、 ONU標 識)作為該EAPoL協議的認證報文中的一個或多個option (選項)或作為 高層協議(如Radius協議)的一個或多個Option,傳遞給認證服務器，
其中，當ONU工作在中繼模式時，如果ONU把鏈路信息作為EAPoL 協議的認證報文的一個或多個Option時，ONU先在EAPoL協議的認證凈艮文 中插入請求認證的用戶設備的鏈路信息，再將該插入了鏈路信息的EAPoL 協議的認證報文承載在高層協議中傳遞給認證服務器；如果ONU把標識作 為高層協議(如Radius)的 一個或多個Option時，ONU把收到的EAPoL協議 的認證報文承栽在高層協議中，直接將請求認證的用戶設備的鏈路信息插入 高層協議的一個或多個承載標識的Option中；
當ONU工作在終結才莫式時，ONU把收到的EAPoL協i義的i人i正才艮文轉 換成高層協議報文(如Radius),并將請求認證的用戶設備的鏈路信息插入高 層協議的承栽標識的Option中。
在該方式二中，OLT在認證報文中插入鏈路信息的具體實現包括 OLT可以作為高層協議的代理或中繼(如Radius協議代理或中繼)，監聽 PON接口收到的高層協議報文(如Radius報文)，把鏈路信息(包含OLT的標 識或地址、PON接口標識等)作為Option插入高層協議才艮文(如Radius協議 報文)中。
方式三、認證過程，ONU探聽到用戶端口收到EAPoL協議的認證才艮文 后，把EAPoL協議的認證報文的定位信息(如會話標識或EAPoL協議的認 證報文中的用戶設備的標識，比如MAC地址)和用戶設備的鏈路信息(包含 ONU的標識、用戶設備所連的端口)通過OLT和ONU之間的OAM (運營 管理維護)通道(如GPON協議的OMCI通道)發送給OLT。
圖5是在本發明中由ONU和OLT共同作為認證系統時在無源光網絡中 實現802.1x認證的流程圖。參見圖3B和圖5，在本發明中，由于ONU和 OLT都是PON系統中的接入設備，所以ONU和OLT可以共同完成802.1x 體系架構中的認證系統功能，此時，在PON系統中實現802.1x認證的過程 包括以下步驟
步驟501:用戶設備將認證信息攜帶在EAPoL協議的認證報文中發送 至ONU。
步驟502: ONU將接收到的EAPoL協議的認證報文透傳至OLT。 步驟503: OLT接收到EAPoL協議的認證報文后，將認證報文發送至 認證服務器。
步驟504:認證服務器接收到認證報文后，根據該認證報文中攜帶的認 證信息對用戶設備進行認證。
步驟505:認證服務器判斷是否認證成功，如果是，則執行步驟506, 否則，結束當前流程。
步驟506:認證服務器將認證成功消息發送至OLT。
在本發明中，OLT可以工作在中繼模式或終結模式，當OLT工作在中繼模式時，在上述步驟503中，OLT接收到EAPoL 協議的認證報文后，把封裝了認證數據的EAP幀承栽在其它高層協議，比 如Radius協議中，然后發送給認證服務器；在上述步驟506中，認證月l務 器將認證成功消息封裝在EAP幀中，通過高層協議比如Radius協議，發送 至OLT。
當OLT工作在終結模式時，在步驟503中，OLT接收到EAPoL協議的 認證報文后，將該EAPoL協議的認證報文轉換為其它協議比如Radius協議 的認證報文，然后發送至認證服務器；在上述步驟506中，認證服務器采用 該其它協議如Radius協議，將認證成功信息發送至OLT。
步驟507: OLT接收到認證成功消息后，將連通命令發送至ONU。
步驟508: ONU接收到連通命令后，執行打開自身與用戶設備間的受控 端口及其他相關業務處理。
這里，OLT打開自身與用戶設備間的受控端口后，則允許用戶設備通 過PON系統訪問網絡資源或月良務。
另外，所述其他相關業務處理可以為將該打開的受控端口與用戶設備進 行綁定等處理。
步驟509: OLT將EAPoL協議的認證成功消息發送至ONU。 步驟510: ONU將EAPoL協議的認證成功消息發送至用戶設備。 為了進一步保證在用戶設備通過認證后，能夠通過PON系統訪問網絡 資源，則必須在ONU中為用戶設備分配相應的上行資源。因此，在上述圖 5所示流程中，在步驟506中，認證服務器和/或控制層的其他設備可以進一 步將用戶設備對應的業務參數攜帶在認證成功消息中發送至OLT; OLT接 收到用戶設備對應的業務參數后，為所述ONU分配相應的PON網絡資源， 比如帶寬和業務級別等，然后將所分配的網絡資源和用戶設備對應的業務參 數發送至ONU。此后，用戶設備則可通過ONU上打開的受控端口將數據報
文發送至PON網絡，完成對相應網絡資源的訪問。
其中，由于OLT的一個PON接口由多個ONU共享， 一個ONU又可 能由多個用戶通過物理或邏輯端口共享，且在實現為ONU分配網絡資源時， OLT需要將分配的網絡資源發送至ONU，所以OLT事先需要獲取ONU的 標識，另外，較佳地，也可以將用戶設備的鏈路信息發送給認證服務器，使 得認證服務器也能夠獲取用戶設備的鏈路信息。
在本發明中，當由ONU和OLT共同作為認證系統在無源光網絡中實現 802.1x認證時，使得OLT獲取ONU的標識的過程包括以下三種實現方式
方式A、用戶開通業務時，在認證服務器側登記用戶的標識(包括用戶 設備所連的ONU的標識、所連的端口、所連的OLT的標識等)。認證時， 認證服務器根據登記的用戶標識可以獲取用戶所連的ONU和OLT的標識， 認證服務器可以將所獲取的用戶所連的ONU的標識發送至OLT,使得OLT 獲取了 ONU的標識，從而完成將所分配的網絡資源發送至ONU的過程。
在方式A中，在開通業務后，用戶不能移動，用戶只有連接到業務開 通時所登記的ONU才能通過認證。
方式B、認證過程，ONU探聽到用戶端口收到EAPoL協議的認證才艮文 后，把EAPoL協議的認證報文的定位信息(如會話標識或EAPoL協議的認 證報文中的用戶設備的標識，比如MAC地址)和用戶設備的鏈路信息(包含 ONU的標識、用戶設備所連的端口)通過OLT和ONU之間的OAM (運營 管理維護)通道(如GPON協議的OMCI通道)發送給OLT。
方式C、在認證過程中，在用戶設備、ONU和OLT、認證服務器的交 互時，ONU或OLT可以在用戶設備發給認證服務器的認證報文中插入鏈路 信息(包括ONU的標識，OLT的標識或IP地址等)，認證服務器從這些報文 中的鏈路信息中可以獲知OLT的位置。
其中，ONU插入鏈路信息的方法是ONU探聽與用戶設備相連端口收 到的EAPoL協議的認證報文，把請求認證的用戶設備的鏈路信息(包括所連 的端口 、ONU標識)作為EAPoL協議的認證才艮文的一個或多個option(選項)，
插入與用盧設備相連端口收到的EAPoL協議的認證報文中，帶有鏈路信息 的EAPoL協議的認證報文到達OLT后，OLT可以從EAPoL協議的認證報 文中的承載鏈路信息的Option中得到用戶設備的鏈路信息，確定用戶所連 的ONU,從而完成后續的分配網絡資源的過程。根據需要，OLT可以進一 步把用戶設備的鏈路信息和認證報文的會話標識作關聯保存在本地。根據需 要OLT可以去掉或保留ONU在EAPoL協議的認證報文中插入的鏈路信息， 然后以中繼方式或終結方式把認證報文傳遞給認證服務器。根據需要OLT 還可以在發送認證服務器的認證報文中插入鏈路信息(如OLT的標識、PON 端口)。如果認證報文中有鏈路信息，認證服務器可以從認證報文中獲得請 求認證的用戶設備的鏈路信息，并傳遞給其它服務器(如提供策略服務的服 務器或資源管理的服務器)。
在通過認證后，認證服務器需要將鏈路信息攜帶在認證成功消息中發送 至OLT, OLT收到認證服務器發送的認證成功消息后，OLT根據認證成功 消息中的用戶鏈路信息獲得用戶設備的鏈路信息(如用戶所連的ONU的標 識，用戶i殳備所連的端口)確定用戶所連的ONU， 乂人而完成后續的分配網絡 資源的過程。此種處理過程對應方式A,可選地，也可以對應方式B和方式 C。在上述方式B中，認證服務器也可以不將鏈路信息攜帶在認證成功消息 中，這樣，OLT可以根據認證成功消息中的會話標識從本地保存的會話標識 與用戶標識的關聯信息中獲得用戶的標識(如用戶所連的ONU的標識，用戶 設備所連的端口)，確定用戶所連的ONU，從而完成后續的分配網絡資源的 過程。
在本發明中，所述的ONU也可以記為ONT,均指光網絡單元。
總之，以上所述僅為本發明的較佳實施例而已，并非用于限定本發明的
保護范圍。凡在本發明的精神和原則之內，所作的任何修改、等同替換、改
進等，均應包含在本發明的保護范圍之內。
權利要求
1、一種在無源光網絡中實現802.1x認證的方法，其特征在于，該方法包括A、無源光網絡中的接入設備接收用戶設備發來的認證報文，將該認證報文發送至認證服務器；B、認證服務器根據接收到的認證報文對用戶設備進行認證。
2、 根據權利要求1所述的方法，其特征在于，在步驟B之后，進一步包括 在認證通過后，認證服務器將認證成功消息發送至無源光網絡中的接入設備； 無源光網絡中的接入設備打開與用戶設備間的受控端口 。
3、 根據權利要求2所述的方法，其特征在于，所述無源光網絡中的接入設 備為光網絡單元ONU。
4、 根據權利要求3所述的方法，其特征在于，該方法進一步包括認證服 務器將用戶設備對應的業務參數，直接發送至ONU和OLT,或通過控制層的 其他設備發送至ONU和OLT, OLT接收到業務參數后，為所述ONU分配網絡 資源，并將所分配的網絡資源發送至ONU。
5、 根據權利要求4所述的方法，其特征在于，該方法進一步包括在用戶 開通業務時，在認證服務器和/或控制層的其他設備中登記用戶的標識，該標識 中包括用戶設備所連的ONU的標識、所連ONU的端口 、 OLT的標識，在認證 通過后，認證服務器或/和控制層的其它設備將根據用戶標識獲取的ONU的標 識發送至OLT;認證服務器或/和控制層的其它設備根據所登記的ONU和OLT的標識執行 所述發送的過程；OLT根據認證服務器或/和控制層的其它設備發來的ONU的標識執行所述 發送的過程。
6、 根據權利要求4所述的方法，其特征在于，在步驟A中，所述將認證 才艮文發送至認證服務器的步驟包括ONU和/或OLT在認證報文中插入鏈路信 息，該鏈路信息包括ONU的標識和OLT的標識，然后將該認證報文發送至認 證服務器；認證服務器或/和控制層的其它設備根據從認證報文鏈路信息中獲取的 ONU和OLT的標識，執行所述發送的過程；OLT根據從發送給認證服務器的認證報文中獲取的ONU標識執行所述發 送的過程。
7、 根據權利要求3所述的方法，其特征在于，在步驟B之后，進一步包括 在認證通過后，所述ONU將EAPoL協議的認證成功消息給用戶設備。
8、 根據權利要求2所述的方法，其特征在于，所述無源光網絡中的接入設 備包括ONU和OLT;所述步驟A包括用戶設備將認證報文發送至ONU, ONU將認證報文透 傳至OLT， OLT將認證報文發送至認證服務器；所述將認證成功消息發送至無源光網絡中的接入設備的步驟包括iU正服 務器將認證成功消息發送至OLT; OLT接收到認證成功消息后，將連通命令發 送至ONU;由ONU執行所述的打開與用戶設備間的受控端口的步驟。
9、 根據權利要求8所述的方法，其特征在于，該方法進一步包括認證服 務器將用戶設備對應的業務參數，直接發送至OLT或通過控制層的其他設備發 送至OLT; OLT為所述ONU分配網絡資源，將所分配的網絡資源和用戶設備 對應的業務參數發送至ONU。
10、 根據權利要求9所述的方法，其特征在于，該方法進一步包括在用 戶開通業務時，在認證服務器和/或控制層的其他設備中登記用戶的標識，該標 識中包括用戶設備所連的ONU的標識；所述認證服務器將認證成功消息發送至OLT的步驟包括認證服務器或/ 和控制層的其它設備將所登記的ONU的標識攜帶在認證成功消息中發送至 OLT;OLT根據認證成功消息中攜帶的ONU標識執行所述發送的過程。
11、 根據權利要求9所述的方法，其特征在于，在步驟A中，在ONU 接收到認證報文后，進一步包括ONU將認證報文的定位信息和用戶i殳備 的鏈路信息，通過OLT和ONU之間的運營管理維護通道發送給OLT，其 中，該鏈路信息包含ONU的標識和用戶設備所連的端口 ，定位信息包4奮會 話標識；OLT根據接收到的定位信息和用戶設備的鏈路信息執行所述發送的過程。
12、 根據權利要求9所述的方法，其特征在于，在步驟A中，進一步 包括ONU在認證報文中插入鏈路信息，該鏈路信息包括ONU的標識，然 后將該認證報文發送至OLT;OLT根據從發送給認證服務器的認證報文中獲取的ONU標識，執行所 述發送的過程。
13、 根據權利要求3或8所述的方法，其特征在于，所述與認證服務器直 接交互報文的接入設備工作在中繼模式；所述用戶設備發來的認證報文為 EAPoL協議的認證報文；在步驟A中，所述將認證報文發送至認證服務器的步驟包括與認證服務 器直接交互報文的無源光網絡中的接入設備，將認證報文中封裝了認證數據的 EAP幀承載在其它高層協議中發送至認證服務器；所述將認證成功消息發送至無源光網絡中的接入設備的步驟包括認證服 務器將認證成功消息封裝在EAP幀中，通過高層協議發送至所述與認證服務器 直接交互報文的無源光網絡中的接入設備。
14、 根據權利要求3或8所述的方法，其特征在于，所述與認證服務器直 接交互報文的接入設備工作在終結模式；所述用戶設備發來的認證報文為 EAPoL協議的認證報文；在步驟A中，所述將認證報文發送至認證服務器的步驟包括與認證服務 器直接交互報文的無源光網絡中的接入設備，將EAPoL協議的認證報文轉換為 其它協議的認證報文，然后發送至認證服務器；所述將認證成功消息發送至無源光網絡中的接入設備的步驟包括認i正服 務器采用所述其它協議將認證成功消息發送至所述與認證服務器直接交互報文 的無源光網絡中的接入設備。
15、 根據權利要求8所述的方法，其特征在于，在步驟B之后，進一步包 括在認證通過后，OLT將EAPoL協議的認證成功消息發送至用戶設備。
16、 一種在無源光網絡中實現802.1x認證的系統，其特征在于，該系統包 括用戶設備、無源光網絡中的接入設備和認證服務器，其中，用戶設備，用于將認證報文發送至無源光網絡中的接入設備； 無源光網絡中的接入設備，用于接收用戶設備發來的認證報文，將該iU正 報文發送至認證服務器；認證服務器，根據接收到的認證報文對用戶設備進行認證。
17、 根據權利要求16所述的系統，其特征在于，所述認證服務器，用于在 認證通過后，將認證成功消息發送至無源光網絡中的接入設備；所述無源光網絡中的接入設備，用于在接收到認證成功消息后，打開與用 戶設備間的受控端口。
18、 根據權利要求16所述的系統，其特征在于，所述無源光網絡中的接入 設備為ONU,該ONU通過OLT將認證報文發送至認證服務器。
19、 根據權利要求16所述的系統，其特征在于，所述無源光網絡中的接 入i殳備包括ONU和OLT;ONU,用于接收用戶設備的認證報文，將該認證報文透傳至OLT，在 接收到OLT的連通命令后，打開與用戶設備間的受控端口；OLT，用于將接收到的認證報文發送至認證服務器，在接收到認證成功 消息后，將連通命令發送至ONU。
20、 根據權利要求16至19中任意一項所述的系統，其特征在于，所述 ONU，進一步用于在接收到用戶設備的認證報文后，將用戶設備的鏈路信息 攜帶在認證報文中通過OLT發送至認證服務器。
21、 根據權利要求16至19中任意一項所述的系統，其特征在于，所述 OLT,進一步用于在接收到ONU發來的認證報文后，將鏈路信息攜帶在認 證報文中發送至認證服務器。
22、 根據權利要求16至19中任意一項所述的系統，其特征在于，所述 OLT與所述認證服務器集成在同 一個物理設備內，或位于不同物理設備內。
23、 一種上報鏈路信息的方法，其特征在于，該方法包括無源光網絡中的第 一接入設備接收到用戶設備發來的認證報文，將請求 認證的用戶設備的鏈路信息作為認證報文中的一個或多個選項option插入 認證報文中，然后將認證報文發送至認證服務器。
24、 根據權利要求23所述的方法，其特征在于，所述用戶設備的鏈路 信息包括ONU的標識、OLT的標識以及用戶設備所連端口信息中的4壬意 一個或多個的組合。
25、 根據權利要求23所述的方法，其特征在于，所述無源光網絡中的 第一接入設備包括單獨作為認證系統的ONU，且該ONU工作在中繼模式；ONU接收到的用戶設備發來的認證報文為EAPoL協議的認證報文； 所述將鏈路信息作為認證報文中的一個或多個選項option插入認證報 文中的步驟包括ONU將請求認證的用戶設備的鏈路信息作為EAPoL協議的認證報文的 一個或多個Option插入EAPoL協議的認證報文中，并將該插入了鏈路信息 的EAPoL協議的認證^艮文承栽在高層協議中；或者，ONU將接收到的EAPoL協議的認證報文承載在高層協議中，并 將請求認證的用戶設備的鏈路信息插入承載在高層協議認證報文的 一個或 多個承載位置信息的Option中。
26、 根據權利要求23所述的方法，其特征在于，所述無源光網絡中的 第一接入設備包括單獨作為認證系統的ONU，且該ONU工作在終結模式；ONU接收到的用戶設備發來的認證報文為EAPoL協議的認證報文； 所述將鏈路信息作為認證報文中的一個或多個選項option插入認證報 文中的步驟包括ONU將EAPoL協議的認證報文轉換成高層協議報文，并 將請求認證的用戶設備的鏈路信息插入轉換后的高層協議認證報文的，K栽位置信息的Option中。
27、 根據權利要求25或26所述的方法，其特征在于，所述無源光網絡 中的第 一接入設備包括OLT;在將認證報文發送至認證服務器之前，進一步包括OLT作為高層協 議的代理或中繼，監聽從PON接口收到的ONU發來的高層協議的認證報文， 將鏈路信息作為Option插入高層協議的認證報文中。
28、 根據權利要求23所述的方法，其特征在于，所述無源光網絡中的 第 一接入i殳備包括與OLT共同作為認證系統的ONU;ONU接收到的用戶設備發來的認證報文為EAPoL協議的認證報文； 所述將鏈路信息作為認證報文中的一個或多個選項option插入認證報 文中的步驟包括ONU把請求認證的用戶設備的鏈路信息作為EAPoL協議 的認證報文的一個或多個option,插入該EAPoL協議的認證報文中；所述將認證報文發送至認證服務器的步驟包括ONU將插入鏈路信息 的EAPoL協議的認證報文發送至OLT，OLT將認證報文發送至認證服務器。
29、 根據權利要求28所述的方法，其特征在于，所述將認證報文發送 至認證服務器的步驟包括ONU將認證報文發送至OLT; OLT從接收到的 認證報文中獲取用戶設備的鏈路信息，然后去掉或保留ONU在EAPoL協議 的認證報文中插入的鏈路信息，并以中繼方式或終結方式把認證報文傳遞給 認證服務器。
30、 根據權利要求29所述的方法，其特征在于，所述OLT保留ONU 在EAPoL協議的認證報文中插入的鏈路信息；該方法進一步包括認證服務器從認證報文中獲得請求認證的用戶設備 的鏈路信息。
31、 根據權利要求23所述的方法，其特征在于，該方法進一步包括 認證服務器將認證報文中的鏈路信息發送至控制層的其他設備。
32、 一種上報鏈路信息的方法，其特征在于，該方法包括ONU探聽用戶端口收到EAPoL協議的認證報文后，把認證報文的定位信息和用戶設 備的鏈路信息通過OLT和ONU之間的OAM通道發送給OLT。
33、 一種ONU,其特征在于，該ONU用于在接收到用戶設備發來的認 證報文后，將用戶設備的鏈路信息插入認證報文中，然后輸出插入鏈路信息 的認證報文。
34、 根據權利要求33所述的ONU，其特征在于，所述ONU將請求認 證的用戶設備的鏈路信息作為EAPoL協議的認證報文的一個或多個Option 插入EAPoL協議的認證報文中，直接輸出或將該插入了鏈路信息的EAPoL 協議的認證報文承載在高層協議中后輸出。
35、 根據權利要求33所述的ONU，其特征在于，所述ONU將接收到 的EAPoL協議的認證報文承載在高層協議中，并將請求認證的用戶設備的 鏈路信息插入承載在高層協議認證報文的 一 個或多個承載位置信息的 Option中，并輸出。
36、 根據權利要求33所述的ONU，其特征在于，所述ONU將EAPoL 協議的認證報文轉換成高層協議的認證報文，并將請求認證的用戶設備的鏈 路信息插入轉換后的高層協議認證報文的承載位置信息的Option中，并輸 出。
全文摘要
本發明公開了一種在無源光網絡中實現802.1x認證的方法和系統。無源光網絡中的接入設備接收用戶設備發來的認證報文，將該認證報文發送至認證服務器；認證服務器根據接收到的認證報文對用戶設備進行認證，在認證通過后，將認證成功消息發送至無源光網絡中的接入設備；無源光網絡中的接入設備打開與用戶設備間的受控端口。本發明能夠保證在無源光網絡中實現802.1x認證過程，從而實現在無源光網絡中對用戶設備的合法性認證，保證了網絡的安全性，提高了業務服務質量。
文檔編號H04L9/32GK101127598SQ20061010985
公開日2008年2月20日 申請日期2006年8月18日 優先權日2006年8月18日
發明者楊素林 申請人:華為技術有限公司